Katalog CVE

CVE-2026-11714

WysokieCVSS 8.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.7 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w przypadku włączenia funkcji apiDiscovery-1.0. Atakujący może wykorzystać tę lukę do wysyłania nieautoryzowanych żądań z serwera do wewnętrznych zasobów sieciowych.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataków na wewnętrzne systemy, skanowania sieci lub eskalacji uprawnień poprzez wykorzystanie serwera jako proxy do nieautoryzowanych żądań.

Rekomendacja

Zaleca się natychmiastową aktualizację IBM WebSphere Application Server Liberty do wersji 26.0.0.8 lub nowszej, która zawiera poprawkę eliminującą tę podatność. Jeśli aktualizacja nie jest możliwa, należy tymczasowo wyłączyć funkcję apiDiscovery-1.0.

Oryginalny opis (angielski, źródło NVD)

IBM WebSphere Application Server - Liberty 17.0.0.3 through 26.0.0.7 is affected by a server-side request forgery vulnerability with the apiDiscovery-1.0 feature enabled.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS